Как обновить сертификат для RDP на SBS 2011
Вероятно, я выполняю неправильную процедуру (я не эксперт в серверах Windows).
Наш сервер использовал самоподписанный сертификат 128 SHA1 для RDP на SBS 2011. Срок действия сертификата истек . Я приступил к созданию нового сертификата из сертификата сервера IIS 7, выбрав опцию «Создать самозаверяющий сертификат».
Затем я перешел в «Конфигурация узла сеанса удаленного рабочего стола», затем щелкнул правой кнопкой мыши RDP-Tcp, затем выбрал сгенерированный сертификат из свойств RDP-Tcp.
После применения и повторного тестирования RDP, Я получаю предупреждение, что "этому корневому сертификату CA не доверяют. Для включения доверия ..."
Несмотря на то, что я могу установить RDP, жалоба есть.
Как я могу это исправить?
Правильный способ обновления или добавления сертификатов (самозаверяющих или подписанных общедоступным центром сертификации) в Windows Small Business Server - это использование мастера «Исправить мою сеть» консоли Windows SBS. Мастер делает две вещи:
- Если вы используете самозаверяющий сертификат, срок действия которого истек, он обновляет его.
- Он правильно (повторно) устанавливает существующий сертификат в различных службах на сервере, которые используют этот сертификат, таких как Exchange, удаленный веб-доступ, посредник сеансов удаленного рабочего стола и т. д. Никогда не следует устанавливать сертификаты в этих службах вручную на сервере SBS.
Запустите мастер Fix my network, чтобы исправить сертификат следующим образом:
- Запустите консоль Windows SBS
- Щелкните значок сети вверху, затем щелкните вкладку Подключение
- На правой панели щелкните Исправить мою сеть
- Если несколько обнаружены проблемы, вам необходимо исправить тот, который называется Самостоятельно выданный сертификат истек
Теперь, в вашем случае, поскольку вы уже вручную обновили сертификат, мастер может не найти просроченный сертификат для исправления. Если да, переустановите уже-обновил сертификат через консоль SBS следующим образом:
- Запустите консоль Windows SBS
- Щелкните значок сети вверху, затем щелкните вкладку Подключение
- На правой панели щелкните Добавить доверенный сертификат
- При запуске мастера нажмите Далее
- На экране Получить сертификат выберите Я хочу использовать сертификат, который уже установлен на сервер , затем щелкните Далее
- Выберите правильный сертификат из списка, затем щелкните Далее
- Мастер установит сертификат. нажмите Готово , когда закончите.
Как я ожидаю, что это решит вашу проблему
На основании вашего комментария все машины, использующие RDP на сервере, присоединены к домену. Следовательно, все они должны доверять сертификату, установленному консолью SBS. Только рабочие станции, не входящие в домен, нуждаются в дополнительных действиях, выполняемых для того, чтобы доверять самозаверяющему сертификату, используемому сервером SBS, а именно использование предоставленного пакета установки сертификата для настройки компьютера, не являющегося доменом, для добавления сертификата в свое хранилище доверенных корневых сертификатов.
Чтобы получить правильно доверенный сертификат, нужно сделать одну из двух вещей.
- Получить публичный сертификат от платного провайдера или от проекта LetsEncrypt
- Create a CA for internal use
Let's Encrypt is a great project, but would require HTTP from the internet open to your server to verify domain ownership.
Создание внутреннего CA можно сделать, добавив на сервер роль "Службы сертификатов Active Directory". Обычно не рекомендуется устанавливать CA на контроллер домена, а в SBS, на котором все базируется.
https://technet.microsoft.com/en-us/library/cc731183(v=ws.11).aspx
Третьим способом исправления этой проблемы, как одноразовое, исправление для одного сервера, является создание самоподписанного сертификата с соответствующим именем. Затем вам нужно будет вытащить копию сертификата и поместить его в доверенные корневые центры сертификации для каждого компьютера, который устанавливает соединение. При необходимости это можно сделать через GPO
.